2001
Czech attack:
V.Klíma, T. Rosa: Útok na privátní podpisové klíče formátu OpenPGP,
programů PGPTM a dalších aplikací kompatibilních s OpenPGP.
Ohlasy na
článek z různých médií (The New York Times, CNN, ČT1, ...): CZ,
ENG.
Technická zpráva CZ: OpenPGP_attack_CZ.pdf
Technická zpráva ENG: OpenPGP_attack_ENGvktr.pdf
Abstrakt: V příspěvku je popsán útok na formát OpenPGP, který vede k
odhalení privátních podpisových klíčů algoritmů DSA a RSA.
Formát OpenPGP je použit v řadě aplikací, včetně
programů PGP, GNU Privacy Guard a dalších, uvedených na seznamu
produktů, kompatibilních s OpenPGP, které jsou uvedeny na stránce http://www.pgpi.org/products. Proto
všechny tyto aplikace musí projít stejnou revizí jako vlastní program PGPTM.
Úspěšnost útoku byla prakticky ověřena a demonstrována na
programu PGPTM verze 7.0.3 s kombinací algoritmů AES a DH/DSS.
Protože privátní podepisovací klíč je základní utajovanou informací celého
systému, je zašifrován silnou šifrou. Ukazuje se však, že tato ochrana je
iluzorní, protože útočník nemusí útočit ani na tuto šifru, ani na
tajné přístupové heslo uživatele. K útoku stačí určitým způsobem
modifikovat soubor s privátním klíčem a následně zachytit jednu
podepsanou zprávu. Nedostatečné zajištění integrity veřejných i
privátních částí podepisovacích klíčů ve formátu OpenPGP je
analyzováno u algoritmů DSA a RSA a na základě toho je ukázán postup
útoků na oba privátní podpisové klíče. Útoky se týkají všech délek
parametrů (modulů, klíčů) RSA a DSA. V závěru se
navrhují kryptografická opatření pro opravu formátu OpenPGP i programu PGPTM.
Útok
na privátní podpisové klíče formátu OpenPGP - technický článek:
V.Klíma, T. Rosa: Útok na privátní podpisové klíče PGP: Czech attack,
Chip. květen 2001, str. 164 - 167.
chip-2001-05-164-167.pdf
V článku je vypíchnuta podstata útoku na formát OpenPGP, který byl
podrobně popsán v technické zprávě (viz níže). Útok vede k odhalení
privátních podpisových klíčů algoritmů DSA a RSA a byl prakticky
ověřen na PGP(TM) 7.0.3.
Útok
na privátní podpisové klíče formátu OpenPGP - komentáře:
V.Klíma, T. Rosa: Útok na privátní podpisové klíče PGP: Když "Burian
kryptoval"...(aneb Co v technické zprávě nebylo), Chip. květen
2001, str. 42 - 44.
chip-2001-05-042-044.pdf
Útok na program PGP(TM) a formát OpenPGP vyvolal rozruch mezi odborníky, ale
bohužel přičiněním nesprávné interpretace objevu v denním tisku
se mu dostalo také falešné a zavádějící publicity mezi laiky. V
článku jsou uvedeny komentáře autorů kryptoanalytického útoku k
názorům, které se objevily jak v domácím a zahraničním tisku, tak v
médiích. Autoři vysvětlují svá stanoviska, neboť mnoho
"vykladačů" jejich odborného zjištění střílelo
vedle. Týkají se nejen útoku samého, ale i používání příšerného slova
"kryptování", zákona o elektronickém podpisu a dalších souvislostí.
Praxe:
kryptografie, RSA:
V. Klíma, T. Rosa: RSA v novém světle (2), Chip, prosinec 2001, str. 180 -
183.
chip-2001-12-180-183.pdf
V tomto dílu jsou vysvětleny detaily Mangerova útoku na implementace RSA
podle PKCS#1 ver. 2.1. Z článku je zřetelné, že mnohé implementace
RSA nebudou imunní proti uvedeným postranním kanálům. Vcelku nevinně
vyhlížející implementační chyby mohou mít za následek i takovou
"maličkost", jakou je odhalení kompletního otevřeného
textu.
Existence
Echelonu potvrzena:
V. Klíma: Velké ucho bedlivě naslouchá po celém světě, Právo,
29.11.2001, str. 10.
Oficiální vyšetřování Evropského Parlamentu a odtajněné dokumenty tajných služeb potvrzují existenci globálního odposlechového systému Echelon, tajeného přes 50 let. Podrobnosti o něm přináší článek.
Workshop:
V. Klíma,
T. Rosa: O postranních kanálech, nové maskovací technice a jejím konkrétním
využití proti Mangerovu útoku na PKCS#1, Mikulášská
kryptobesídka, Praha, 10. - 11.12. 2001, str. 57 - 72.
Příspěvek
má čtyři hlavní části. V první upozorňujeme na význam
tvrzení o individuálních bitech RSA v souvislosti s postranními kanály. V druhé
hlavní části ukazujeme útok na otevřený text, šifrovaný podle
EME-OAEP PKCS#1 s využitím využití postranního kanálu při realizaci funkce
SHA-1.Ve třetí navrhujeme teoretickou konstrukci využívající zvláštní
maskovací techniku ke snížení vyzařování informací z postranních
kanálů a ve čtvrté ukazujeme využití této maskovací techniky
konkrétně při obraně proti Mangerově útoku na PKCS#1.
Konference
Openweekend:
V. Klíma
: Úvod do kryptologie a kryptografické algoritmy, seminář OpenWeekend SU ČVUT, 10. a
11. listopadu 2001, FEL ČVUT, Praha. Situační foto z akce
pořídil Štěpán
Kotrba z Britských listů.
Přednáška je úvodem do kryptologie a zabývá se čtyřmi hlavními
oblastmi kryptografie a ukázkami z oblasti kryptoanalytických metod.
Konference
Vojenská kryptografie IV:
V. Klíma, P. Rydlo: Optimalizace rychlosti algoritmu AES v instrukčním
souboru procesoru PowerPC, Vojenská kryptografie IV, Brno, 30.10.-31.10.2001,
konference pořádaná Vojenským bezpečnostním úřadem Praha a
Vojenskou akademií v Brně, Sborník příspěvků, str. 83 -
112.
Přednáška se zabývá optimalizací algoritmu AES v instrukčním souboru
procesoru MPC850. Ukazuje se, že přijaté metody optimalizace a použité
instrukce jsou použitelné nejen pro tento procesor, ale pro rodinu
procesorů PowerPC. Jsou vysvětleny obecné zásady této optimalizace a
je uveden i konkrétní zdrojový kód nejdůležitějších partií AES v
assembleru procesoru MPC850.
Praxe:
kryptografie, RSA:
V. Klíma, T. Rosa: RSA v novém světle (1), Chip, listopad 2001, str. 172 -
175.
chip-2001-11-172-175.pdf
Šifra RSA, jakkoliv bezpečná, nedávno neodolala vychytralému útoku.
Nezklamala ovšem šifra sama, ale její nedůsledná implementace podle normy
PKCS#1, ver. 2.1. V článku se zabýváme Mangerovým útokem ze srpna 2001.
Praxe:
kryptografie, faktorizace:
V. Klíma: Dvě čísla za 200 000 dolarů (2), Chip, říjen
2001, str. 182 - 188.
chip-2001-10-182-188.pdf
Současný rekord ve faktorizaci čísla typu n = p*q je 155 dekadických
číslic (512 bitů). V tomto povídání o problémech faktorizace vás
seznámíme s metodou prosévání General Number Field Sieve (GNFS), které za to
vděčíme. A odpovíme také na otázku, jak velké číslo bychom byli
schopni faktorizovat, kdybychom měli všechny znalosti současné
vědy a veškerou výpočetní techniku na Zemi.
Odposlechy
v Evropě:
V. Klíma: EU proti Echelonu, Chip, říjen 2001, str. 24.
chip-2001-10-024-024.pdf
Echelon je celosvětový odposlechový systém, "vytěžující"
také Evropu, do jehož činnosti jsou zapojeny i některé státy EU. V
Chipu 07/01 jsme přinesli nové informace pracovní komise Evropského
Parlamentu (EP) o tom, jak Echelon poškozuje zájmy Evropské unie (EU).
5.září ve Strasbourgu komise ukončila svoji činnost vydáním
závěrečné zprávy a textu rezoluce EP, která bude schválena na podzim.
Rezoluce jasně říká, že "o existenci Echelonu, určeného k
zachycování osobních a komerčních informací, není pochyb". Zpráva
obsahuje další novinky.
Faktorizace:
V. Klíma: Dvě čísla za 200 000 dolarů (1), Chip, září 2001,
str. 176 - 180.
chip-2001-09-176-180.pdf
Představte si, že máte k dispozici veškerou výpočetní techniku na
Zemi, všechny znalosti současné vědy a hodně peněz. Jak
velké číslo byste byli schopni faktorizovat? Pokusíme se tuto otázku
zodpovědět a seznámíme vás se známými metodami faktorizace.
Klíčová slova: RSA-Cracker, Fermatův a Miller-Rabinův test, Pollardova
p-1 metoda, základní myšlenka faktorizačních metod, Pollardova ró metoda,
Floydův trik, bezpečnost a faktorizace podle Silvermana vs. Lenstry a
Verheula.
Nové
hašovací funkce SHA-256, SHA-384 a SHA-512:
V.Klíma: Jednoznačné otisky dat, Chip, srpen 2001, str. 138 - 139.
chip-2001-08-138-139.pdf
V článku jsou popsány uvedené hašovací funkce. Jejich návrh
pravděpodobně nedozná žádných změn a budou tak, jak jsou popsány,
přijaty jako nové americké standardy bezpečných hašovacích funkcí.
Vyhlášení se očekává v dokumentu FIPS PUB 180-2. Je velice
pravděpodobné, že budou implementovány ve všech nových produktech a
postupně se stanou nejrozšířenějšími hašovacími funkcemi na světě.
Odposlechový
systém Echelon:
V.Klíma: Jenom papírový tygr?, Chip, červenec 2001, str. 46 - 49.
chip-2001-07-046-049.pdf
Jak jsme vás informovali už v Chipu 8/99 (článek naleznete také zde v
archivu), systém Echelon je globální odposlechový systém tajných služeb,
rozprostřený po celé zeměkouli, a do jeho zájmů
samozřejmě patří i Evropa. Zda neškodí zájmům Evropské
unie, se už delší dobu snaží zjistit pracovní komise Evropského Parlamentu. V
článku naleznete klíčové údaje z pracovní zprávy o tomto systému i
další zdroje informací k Echelonu.
Konference
EurOpen.CZ - kryptografie jako stavebnice:
V.Klíma:
Moderní kryptografické metody a standardy, XVIII.konference EurOpen.CZ, 11.6.-
13.6.2001, Sborník XVIII.konference EurOpen.CZ, ISBN 80-902715-8-8, EurOpen.CZ,
Praha 2001.
V přednášce je představena řada kryptografických technik a
standardů a jejich souvislosti. Dále se zde zabýváme současným stavem
a novinkami v oblasti kryptografie a výhledem do budoucna.
Standard
PKCS#3 (Diffie-Hellmanův protokol) výměny klíčů:
V.Klíma: Před nosem nepřítele..., Chip, červen 2001, str. 183 -
185.
chip-2001-06-183-185.pdf
Už jste někdy zkoušeli domluvit se s někým po telefonu tak, aby tomu
odposlouchávající nerozuměl? Udělat to tak, aby ani
nejmodernější počítače a štáby lidí, které se odposlechem
zabývají, nemohly nic zjistit, byl ještě před čtvrt stoletím nevyřešený
oříšek. Tento problém vyřešila myšlenka asymetrické kryptografie,
kterou Diffie a Hellman popsali ve svém revolučním článku "New
directions in cryptography" vydaném v časopisu IEEE Transactions on
Information Theory (vol. IT-22, str. 644-654) v roce 1976. V současné
době jsou nejznámějšími standardy pro její realizaci PKCS#3
společnosti RSA, P1363 organizace IEEE, internetový standard RFC 2631 a
americký bankovní standard ANSI X9.42. Článek se tímto protokolem zabývá.
Konference
DCD:
V.Klíma: Současné kryptografické metody v ochraně dat a nové
standardy, konference "Bezpečnost dat v počítačových
systémech", DCD Publishing, 24.4. - 25.4. 2001, Praha.
Standard
PKCS#12 pro ochranu privátních informací a klíčů při jejich
vzniku, exportu a importu:
V.Klíma: PKCS#12: Důvěrnosti podle normy, Chip, duben 2001, str. 176
- 178.
chip-2001-04-176-178.pdf
Až se objeví první systémy realizující elektronický podpis podle zákona č.227/2000
Sb., přirozeným cílem hackerů budou také nejcitlivější data,
třeba i privátní podepisovací klíče občanů. Povšimněme
si proto standardu PKCS#12, který se používá k ochraně těchto
klíčů při jejich vzniku, exportu a importu v rámci různých
systémů. Clánek popisuje jeho obsah a syntaxi.
Nejpoužívanější
formáty kryptofragicky zpracovaných dat podle PKCS#7:
V.Klíma: PKCS#7: I šifra musí mít formát, Chip, březen 2001, str. 137 -
139.
chip-2001-03-137-139.pdf
Článek popisuje obsah a syntaxi nejrozšířenějšího formátu
kryptograficky zpracovaných dat. PKCS#7 je například nejpoužívanějším
formátem pro ochranu elektronické pošty. Je podporován v poštovních klientech
Microsoftu i Netscape a v dalších normách.
Žádost
o certifikát podle formátu PKCS#10:
V.Klíma: PKCS#10: Žádáme o certifikát, Chip, únor 2001, str. 134 - 136.
chip-2001-02-134-136.pdf
Abychom se mohli elektronicky podepsat, je nutné mít certifikát. Článek se
zabývá žádostí o certifikát. Vysvětluje obsah a syntaxi
nejpoužívanějšího formátu žádosti podle normy PKCS#10.
Certifikát
X.509:
V.Klíma: Kdopak se to podepsal?, Chip, leden 2001, str. 130 - 133.
chip-2001-01-130-133.pdf
V tomto dílu seriálu o moderních kryptografických metodách se zabýváme
certifikáty. Je to pojem, který bychom měli pochopit, chceme-li v praxi
využívat elektronické podepisování. V článku se zabýváme
nejpoužívanějším formátem certifikátu podle normy X.509 verze 3 a všímáme
si zejména jeho obsahu a technické stránky.